【生活法律】資安事件的預防
Written by Jean-CS on 2020-10-29
▍生活議題法律講解:資安事件的預防
特別來賓:台北地檢 蕭奕弘檢察官
這幾年來,發生好幾件資安事件,比如勒贖病毒、DDOS攻擊,以及個資外洩,都造成社會的紛擾以及相當的損害。資安就是國安,今天的生活法律,我們來談談怎樣避免發生資安事件
▍主題QA
真的有駭客想要入侵我們嗎?
今年5月4日,中油公司因為系統中了勒贖病毒,導致資訊系統異常;7月22日,穿戴式裝置、GPS的公司Garmin也中了勒贖病毒,導致系統停擺好幾天。這些愈來愈常見的中毒事件,是偶發,還是真的有駭客以政府機關或大公司為目標?駭客真的在我們身邊嗎?
今年8月,美國司法部起訴5名中國籍駭客、2名馬來西亞業者,受害的單位、機構跟公司超過一百個、遍佈全球,包括遊戲公司、電信產業、大學、非營利組織等等。
其中,起訴書提到兩件跟台灣有關的事件,2019年有一家大學遭到入侵,駭客取走67000張的學生照片跟姓名。2020年5月4日,一家台灣能源公司被勒贖病毒將公司的資料加密。
調查局的示警
今年8月19日,調查局也發布新聞稿,表示在最近幾件政府機關資安事件的調查中,發現中國駭客組織長期滲透政府機關及資訊服務商,模式大概都是先鎖定存在,但尚未修補漏洞的路由器設備。比如,有做韌體更新,或沒有更改出廠設定等,透過漏洞入侵後,控制設備作為中繼站。
另一方面也攻擊訊服務供應商、政府機關對外服務網站,滲透內部網路,破解員工的遠端連線的帳號密碼,或是寄送寄送帶有惡意程式的釣魚郵件等。
調查局也提供11組惡意的網域名稱。
現代駭客的手法: APT攻擊中油的駭客組織稱為APT-41,APT的全名是Advanced Persistent Threat (進階持續型威脅)。這類攻擊手法的駭客潛伏的時間很長,可能是好幾天、好幾週、好幾個月,甚至好幾年。低調、緩慢、有耐心的等。通常透過釣魚網站、社交工程作為開始。所以,中毒,並不一定馬上發作,駭客會很有耐心的等著突破點。
該怎麼預防?
駭客攻擊的方式,大概有兩個主要類別,以人為目標,透過社交工程、網路釣魚、取得帳號密碼,取得資訊系統的控制權。以系統為目標,利用系統的漏洞沒修補、出廠設定沒修改、密碼強度不夠等缺陷,入侵系統。
要能避免這兩種情形,最重要的是:系統隨時更新大部分的資安事件,其實都來自已經公開、揭露的漏洞,但使用者並沒有即時更新的情形。
舉例來說,2017年5月發生大流行的勒贖病毒WANNACRY,造成很多損失。有些人一開機,什麼都沒做,電腦就中毒,重要檔案被加密鎖住。
實際上,這個病毒是利用一個微軟作業系統的漏洞,這個漏洞允許遠端電腦執行程式碼。不過,微軟在2017年3月14日發布更新修補漏洞,但許多電腦並未更新。如果可以即時更新,可以減低許多災情。
預防網路釣魚
網路釣魚,是社交工程的一種,透過聳動、吸引人的郵件標題或訊息,引誘人點開有毒的連結,是駭客最常用的手法之一。所以,看到陌生來信、奇怪連結,千萬不要亂點喔,不然可能會因此中毒。每個機關、公司的每一部電腦的資訊安全都很重要,出現破口就可能給駭客可乘之機,進而影響整個機關跟公司。
密碼強度要夠、要多樣化
如果密碼強度不夠,或是跟身分關聯,容易被猜出,就有可能被輕易的猜出而入侵。另外,我們使用的資訊系統、網站,加一加至少數十種,假設其中有家公司因為駭客入侵,把帳號密碼取走,就可能被駭客拿來使用到其他的系統。
為了避免這種情況,使用不同的系統平台,像是臉書、Google、IG等,除了密碼強度要夠外,每一種系統最好都使用不同的密碼,當然這個密碼要記得住,建議可以把相類似的邏輯使用到不同系統中,讓自己更容易記住。
▍YOYO Live Show 生活法律與法庭(歡迎訂閱/重聽)